網絡安全態勢感知標準架構設計

陳 妍 朱 燕 劉玉嶺 劉星材

1(公安部第三研究所公安部信息安全產品檢測中心 上海 200031)2(中國科學院信息工程研究所第六研究室 北京 100093)(chenyan@mctc.org.cn)

隨著組織信息化建設規模的擴大，安全架構日趨復雜，各種類型的安全設備、安全數據越來越多，組織自身的安全運維壓力不斷加大.另一方面，以高級可持續威脅(advanced persistent threat, APT)為代表的新型攻擊的興起[1-2]，隨著內控與合規的深入，越來越需要組織充分利用更多的安全數據進行分析檢測，對基礎架構安全、應用安全、數據安全乃至業務安全中面臨的各類高級威脅作出判定和響應，以支撐業務持續穩定和安全運行.網絡安全態勢感知[3-4]是一種基于環境動態地、整體地洞悉安全風險的能力，綜合利用數據融合、數據挖掘、智能分析和可視化等技術，直觀顯示網絡環境的實時安全狀況，為網絡安全保障提供技術支撐.

不同于傳統防火墻、入侵檢測、安全審計等功能相對固化的產品，網絡安全態勢感知的概念及應用則復雜很多.很多產品或系統都宣稱具備網絡安全態勢感知的三要素：態勢獲取、態勢理解和態勢預測，但實際部署后的系統應用效果千差萬別，沒有給用戶帶來實際的網絡安全監測與防護效果，反而造成了資源浪費，同時給市場帶來了一定的混亂.這一方面是缺乏網絡安全態勢感知技術、框架、功能等標準導致的，另一方面原因在于缺少業界公認的針對網絡安全態勢感知的綜合評價指標.另外，網絡安全態勢感知平臺需要從多種數據源進行數據采集，并與多個其他安全產品和系統進行聯動，存在較多需要定義的數據和功能接口，目前各產品廠商、各平臺建設單位各自為政，缺乏統一的數據接口，數據對接、威脅情報共享工作的實際落地較為困難.

解決這些問題需要有配套的態勢感知標準來對相關系統和產品的功能進行規范，保障相關產品和系統的質量；對態勢感知的評價指標進行構建，保證系統輸出結果的一致性；對系統間數據采集、數據共享、協同聯動的接口進行統一，促進不同廠商產品和系統之間的互聯互通.本文在調研國內外網絡安全態勢感知標準的基礎上，圍繞組織在進行網絡安全態勢感知能力建設、廠商在開發和設計網絡安全態勢感知產品時面臨的問題，給出了網絡安全態勢感知的標準架構.

1 網絡安全態勢感知相關標準梳理分析

隨著網絡安全態勢感知產品的增多，以及各級網絡安全態勢感知平臺的建設和實踐，需要配套的網絡安全態勢感知標準規范產品和系統的核心功能，構建態勢感知能力評價體系，統一平臺間數據采集共享和協同聯動接口，促進不同產品和平臺的互聯互通，從而增強網絡安全態勢感知能力.

深受先賢理念潤澤，緊跟時代步伐，百余年來，廣雅一直在傳承堅守“和諧”教育理念，不斷發展和豐富“和諧”教育內涵，通過制度建設和體系完善、環境美化和平臺優化，積極營造和諧的教育生態，引領學生自由、健康成長。

本節梳理分析國內外標準化組織的已有工作，為后面標準框架的構建提供研究基礎和技術依據，具體如表1所示.

通過表1可以看出，當前網絡安全態勢感知仍存在以下亟需解決的標準問題：

表1 網絡安全態勢感知國內外標準化情況梳理分析

1) 開發廠商、平臺建設單位雖然一定程度上可以使用已有的脆弱性、威脅情報、安全事件標準，但是缺乏統一的數據接口，給平臺對接、數據交換和威脅情報共享等增加了工作量和困難；

2) 缺乏統一的安全態勢感知功能要求標準，容易導致網絡安全態勢感知平臺建設單位對態勢感知的認識不到位、系統架構設計不合理、態勢感知功能模糊不清、能力參差不齊，無法真正實現網絡安全態勢感知；

3) 缺乏態勢感知前端數據源標準規范，導致前端采集源與平臺、平臺內部高度融合，無法與其他優秀的前端采集源、分析能力進行異構兼容.

集體備課可以有效提升教師的專業素養，特別是對青年教師群體業務能力的鍛煉.集體備課的主要目的就是發揮教研組全體教師的集體智慧，老教師提供經驗方法，年輕教師貢獻教學新思路，共同優化教學設計，提高教學質量.與此同時，集體備課可以為教師提供交流的平臺，便于課程教學策略與改革方案的實施.

考慮到網絡安全態勢感知的復雜性，需建立標準體系來規范和指導網絡安全態勢感知工作.目前已有的標準主要從某一方面對網絡安全態勢感知進行了規范，比如參考設計、功能要求、數據交換等，但沒有一個完整的標準體系設計，為此，亟待從技術和產業發展角度加快推進網絡安全態勢感知的標準化工作，為我國網絡安全態勢感知的健康發展提供有力保障.

2 網絡安全態勢感知標準架構

本文調研了國內外典型的網絡安全態勢感知系統架構[5-14]，對網絡安全標準體系進行了研究，認為網絡安全態勢感知標準體系的構成要素應涵蓋技術要求標準、安全管理標準、檢測評價標準、應用指南標準等標準類型，覆蓋數據采集、數據存儲、數據處理、數據分析、數據共享等關鍵技術全鏈條，同時包括態勢獲取、態勢理解和態勢預測等能力，各要素之間相輔相成，互相支撐，如圖1所示:

圖1 網絡安全態勢感知標準需求圖

基于網絡安全態勢感知標準需求及網絡安全態勢感知系統架構，本節設計了基于數據處理流程的網絡安全態勢感知標準架構，如圖2所示，該標準架構可以有效指導網絡安全態勢感知系統的設計、開發和建設.

如圖2所示，網絡安全態勢感知標準架構主要包括總體框架標準、前端數據源類標準、數據標準、應用標準、數據共享標準和業務支撐標準.其中數據標準包括數據預處理標準、數據存儲標準和數據服務接口標準；應用標準包括安全功能類標準、安全指標體系類標準和安全可視化要素類標準；業務支撐標準包括基礎標準和管理標準.各標準的定位以及作用如表2所示.

圖2 網絡安全態勢感知標準架構

表2 網絡安全態勢感知各標準定位

基于上述的網絡安全態勢標準框架，可以對態勢感知能力的建設起到規范和指導作用，主要體現在如下方面：一是通過規范態勢感知產品開發者、平臺建設者的設計、開發和建設流程，統一系統框架，提升系統的技術水平；二是通過規范態勢感知服務組織的基礎安全管理、數據安全管理、系統安全管理和安全運維等，提升系統防范安全風險的能力；三是規范行業體系，對系統的數據采集、數據共享、協同聯動的接口進行統一，促進不同廠商產品和系統之間的互聯互通，從而進一步支撐網絡安全態勢感知的健康發展.

3 結束語

網絡安全態勢感知作為實現網絡安全實時監測和防護的一種手段，其作用至關重要.但由于網絡安全態勢感知能力建設的復雜性，即使如美國等網絡安全強國也一直在摸索相關方案，我國也一樣在摸索中前進.本文在調研國內外網絡安全態勢感知典型模型的基礎上，給出了網絡安全態勢感知的系統架構，并以問題導向為原則，給出了網絡安全態勢感知的標準架構.網絡安全態勢感知的工作任重而道遠，標準化工作則極為重要.未來需要在《中華人民共和國網絡安全法》的指引下，緊密圍繞國家網絡安全戰略需要，持續完善和優化我國網絡安全態勢感知的標準體系建設.網絡安全態勢感知標準體系建設一方面可以為網絡安全態勢感知的標準編制工作提供方向性指導；另一方面也能為網絡安全態勢感知研發、生產和檢測單位開展規范化科研、生產和檢測提供依據.